новости
May 29

Предполагаемые хакеры из Китая используют вредоносную платформу “Cuttlefish” для атаки на Турцию

📌Идентификация вредоносного ПО и его активность: Вредоносное ПО, идентифицированное как Cuttlefish, было активно как минимум с 27 июля 2023 года, а последняя кампания проводилась с октября 2023 по апрель 2024 года. Вирус предназначен для проникновения в маршрутизаторы и другое сетевое оборудование с целью незаметной кражи информации.

📌Географическая направленность и жертвы: Кампания в основном затронула Турцию, где 99% случаев заражения происходит внутри страны. Среди остальных жертв — глобальные операторы спутниковой связи и, возможно, центр обработки данных, расположенный в США.

📌Связь с китайскими операциями: Исследователи из Black Lotus Labs предполагают наличие связи между Cuttlefish и китайским правительством из-за значительного совпадения с другой вредоносной программой под названием HiatusRat, которая использовалась в операциях, отвечающих интересам Китая.

📌Принцип работы: Cuttlefish собирает данные о пользователях и устройствах, находящихся за пределами целевой сети, что позволяет хакерам отслеживать весь трафик, проходящий через скомпрометированные устройства. Программа предназначена для маршрутизаторов корпоративного уровня для малого и домашнего офиса (SOHO).

📌Кража данных: Вредоносная программа настроена на кражу ключей для облачных сервисов, таких как Alicloud, AWS, Digital Ocean, CloudFlare и BitBucket. Это позволяет злоумышленникам получать доступ к данным из облачных ресурсов, которые, как правило, менее защищены, чем традиционные сетевые периметры.

📌Проблемы обнаружения: Характер атаки, осуществляемой через надежную внутреннюю сеть, делает ее особенно трудной для обнаружения. Многие средства обеспечения безопасности сосредоточены на внешних угрозах, тем самым потенциально упуская из виду такие действия, возникающие внутри компании.

📌Последствия: освещается меняющийся ландшафт угроз, в котором методы пассивного подслушивания и перехвата данных становятся все более изощренными. Растущая проблема, связанная с использованием облачных средств аутентификации, требует усиления мер безопасности.

Подпишись: Boosty, TG